Aktuelle Patches

SAP NEWS: Patchday Februar 2024

Bildnachweis: Firefly.com

Hier findet ihr eine Übersicht der SAP Security Notes für Februar 2024:

1. Score 10  (Hot News)

Nummer: 2622660

Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client

Ab SAP Business Client 6.5 PL5 können Sie das Browser-Control Chromium verwenden, um HTML-Content anzuzeigen. Sicherheitskorrekturen dafür werden über SAP-Business-Client-Patches bereitgestellt. Bei veralteten SAP-Business-Client-Releases können verschiedene Schwachstellen auftreten, darunter Speicherschäden und Offenlegung von Informationen. Dies kann die Vertraulichkeit, Integrität und Verfügbarkeit beeinträchtigen. Beachten Sie auch die Aussagen des Chrome-Sicherheitsdiensts zur Offenlegung von Schwachstellen. Wenn Sie ein anderes Browser-Control verwenden, lesen Sie den Sicherheitsleitfaden in der Dokumentation für SAP Business Client. CVSS-3.0-Scores entsprechen den NVD-Werten zum Zeitpunkt der Freigabe des entsprechenden SAP-Business-Client-Patches.

 

2. Score 9.1  (Hot News)

Nummer: 3420923

[CVE-2024-22131] Code-Injection-Schwachstelle in SAP ABA (Anwendungsbasis)

Ein Angreifer mit Remote-Ausführungsberechtigung kann über eine anfällige Schnittstelle eine Anwendungsfunktion aufrufen, um unautorisierte Aktionen auszuführen. Dadurch können Daten von Benutzern oder Unternehmen gelesen oder geändert werden, und das System kann möglicherweise unzugänglich gemacht werden.

3. Score 8.8   (High priority)

Nummer: 3417627

[CVE-2024-22126] Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS Java (Benutzerverwaltungsanwendung)

Die Benutzerverwaltungsanwendung von SAP NetWeaver AS for Java validiert und kodiert die eingehenden URL-Parameter nicht ausreichend, bevor sie in die Umleitungs-URL eingefügt werden. Dadurch entsteht eine Cross-Site-Scripting-Schwachstelle (XSS), die die Vertraulichkeit beeinträchtigt und leichte Auswirkungen auf die Integrität und Verfügbarkeit hat.

4. Score 8.6   (High priority)

Nummer: 3426111

[CVE-2024-24743] XXE-Schwachstelle in SAP NetWeaver AS Java (Guided Procedures)

Ein nicht authentifizierter Angreifer kann über das Netzwerk eine schädliche Anfrage mit einer erstellten XML-Datei an SAP NetWeaver AS Java (CAF – Guided Procedures) senden. Diese Anfrage ermöglicht es dem Angreifer, beim Parsen sensible Dateien und Daten einzusehen, ohne jedoch Änderungen daran vorzunehmen. Es gibt Einschränkungen bei der Erweiterung, um sicherzustellen, dass die Verfügbarkeit nicht beeinträchtigt wird.

5. Score 7.6   (High priority)

Nummer: 3410875

[CVE-2024-22130] Cross-Site-Scripting-Schwachstelle (XSS) in SAP CRM (WebClient UI)

Die Druckvorschau-Option im SAP-CRM-WebClient-UI kodiert benutzergesteuerte Eingaben nicht ausreichend, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Ein Angreifer mit begrenzten Rechten kann durch erfolgreiche Ausnutzung dieser Schwachstelle die Vertraulichkeit und Integrität der Anwendungsdaten in gewissem Maße beeinträchtigen.

6. Score 7.4   (High priority)

Nummer: 3421659

[CVE-2024-22132] Code-Injection-Schwachstelle in SAP-IDES-Systemen

SAP-IDES-ECC-Systeme enthalten Code, der es einem Benutzer ermöglicht, beliebigen Programmcode auszuführen. Durch Ausnutzung dieser Schwachstelle kann ein Angreifer das Systemverhalten steuern, indem er schädlichen Code ausführt. Dieser Code kann möglicherweise Berechtigungen erlangen, die geringfügige Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems haben.

7. Score 7.4   (High priority)

Nummer: 3424610

[CVE-2024-25642] Falsche Zertifikatsvalidierung in SAP Cloud Connector

Aufgrund unzureichender Validierung des Zertifikats im SAP Cloud Connector besteht die Möglichkeit, dass ein Angreifer echte Server impersonieren kann, um mit SCC zu interagieren. Dadurch wird die gegenseitige Authentifizierung unterbrochen, was es dem Angreifer ermöglicht, Anfragen zum Anzeigen/Ändern sensibler Informationen abzufangen. Die Verfügbarkeit des Systems wird jedoch nicht beeinträchtigt.

8. Score 7.3   (High priority)

Nummer: 3385711

 [CVE-2023-49580] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server ABAP

UPDATE 13. Februar 2024: Dieser SAP-Sicherheitshinweis wurde mit einem aktualisierten Titel, Symptomabschnitt und Informationen zur Ursache und Voraussetzungen erneut veröffentlicht, um genauere Einblicke in die Schwachstelle zu liefern.

In SAP NetWeaver Application Server ABAP kann ein nicht authentifizierter Angreifer über eine Sicherheitslücke auf beschränkte und vertrauliche Informationen zugreifen. Diese Schwachstelle ermöglicht es dem Angreifer auch, Layoutkonfigurationen des ABAP List Viewers zu manipulieren, was die Integrität und Verfügbarkeit des Systems beeinträchtigen kann.

9. Score 6.3   (Medium priority)

Nummer: 2637727

 [CVE-2024-24739] Fehlende Berechtigungsprüfung in SAP Bank Account Management

SAP Bank Account Management (BAM) ermöglicht einem authentifizierten Benutzer mit begrenztem Zugriff die Nutzung bestimmter Funktionen, was zu einer geringfügigen Ausweitung der Rechte führen kann, die die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung beeinträchtigen könnte.

10. Score 5.4   (Medium priority)

Nummer: 3404025

[CVE-2024-22129] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Companion

SAP Companion enthält eine URL mit einem anfälligen Parameter, der XSS-Angriffen ausgesetzt sein könnte. Ein Angreifer könnte einen schädlichen Link an einen Benutzer senden, was dazu führen könnte, dass sensible Informationen abgerufen werden und geringfügige Auswirkungen auf die Integrität der Webanwendung entstehen könnten.

11. Score 5.3   (Medium priority)

Nummer: 3360827

[CVE-2024-24740] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server ABAP (SAP-Kernel)

SAP NetWeaver Application Server (ABAP) kann es einem Angreifer unter bestimmten Bedingungen ermöglichen, auf normalerweise eingeschränkte Informationen zuzugreifen, was geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung hat, jedoch keine Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.

12. Score 4.7   (Medium priority)

Nummer: 3396109

[CVE-2024-22128] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Business Client for HTML

SAP NetWeaver Business Client for HTML überprüft benutzergesteuerte Eingaben unzureichend, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Ein nicht authentifizierter Benutzer kann schädliches JavaScript einschleusen und dadurch die Vertraulichkeit und Integrität der Anwendungsdaten bis zu einem gewissen Grad beeinträchtigen.

13. Score 4.3   (Medium priority)

Nummer: 2897391

[CVE-2024-24741] Fehlende Berechtigungsprüfung in SAP Master Data Governance für Material

SAP Master Data Governance für Materialdaten führt für einen authentifizierten Benutzer keine ausreichende Berechtigungsprüfung durch, was zu einer Rechteausweitung führt. Dies könnte es einem Angreifer ermöglichen, sensible Informationen zu lesen, jedoch hätte dies keine Auswirkungen auf die Integrität und Verfügbarkeit.

14. Score 4.3   (Medium priority)

Nummer: 3237638

[CVE-2024-25643] Fehlende Berechtigungsprüfung in SAP Fiori App (Meine Mehrarbeitsanträge)

Die SAP Fiori App „Meine Mehrarbeitsanträge“ führt für einen authentifizierten Benutzer keine angemessenen Berechtigungsprüfungen durch, was zu einer Rechteausweitung führen kann. Durch die Manipulation der URLs der Datenanfragen ist es möglich, auf Informationen zuzugreifen, auf die der Benutzer keinen Zugriff haben sollte. Diese Schwachstelle hat keine Auswirkungen auf Integrität und Verfügbarkeit.

15. Score 4.1   (Medium priority)

Nummer: 3158455

[CVE-2024-24742] Cross-Site-Scripting-Schwachstelle (XSS) in SAP CRM (WebClient UI)

Im SAP-CRM-WebClient-UI erfolgt eine unzureichende Kodierung von benutzergesteuerten Eingaben, was zu einer Cross-Site-Scripting-Schwachstelle führt. Ein Angreifer mit geringen Rechten kann nach erfolgreicher Ausnutzung die Integrität der Anwendungsdaten bis zu einem gewissen Grad beeinträchtigen. Diese Schwachstelle hat keine Auswirkungen auf Vertraulichkeit und Verfügbarkeit.

SAP Security Trends

SAP BTP und Cloud-Sicherheit: Ein Leitfaden für Unternehmen

SAP BTP, die SAP Business Technology Platform, ist eine Cloud-Plattform, die Unternehmen dabei hilft, ihre SAP-Anwendungen zu entwickeln, bereitzustellen und zu verwalten. Sie bietet eine Reihe von Tools und Services für verschiedene Geschäftsanforderungen, darunter die Anwendungsentwicklung, Datenanalyse und Integration.

Trend: Cloud-native Anwendungen und Services

Ein neuer Trend im Bezug auf SAP BTP ist die zunehmende Nutzung von Cloud-nativen Anwendungen und Services. Dies bedeutet, dass Unternehmen ihre SAP-Anwendungen zunehmend in der Cloud entwickeln, bereitstellen und verwalten.

Auswirkungen auf die Sicherheit

Dieser Trend hat auch Auswirkungen auf die SAP Security. Cloud-native Anwendungen und Services stellen neue Herausforderungen an die Sicherheit dar. Unternehmen müssen daher ihre Sicherheitsmaßnahmen entsprechend anpassen.

Wichtige Sicherheitsaspekte

SAP-Lösungen für die Sicherheit

SAP bietet eine Reihe von Sicherheitsfunktionen und -services, die Unternehmen bei der Bewältigung dieser Herausforderungen unterstützen können. Dazu gehören:

Fazit:  

Unternehmen sollten ihre SAP Security-Strategie an die neuen Herausforderungen im Kontext von SAP BTP anpassen. Dazu sollten sie folgende Schritte unternehmen:

Durch die Umsetzung dieser Schritte können Unternehmen ihre SAP-Anwendungen und -Daten in der Cloud sicher schützen.

Hier finden Sie detaillierte SAP BTP Security Recommendations zu den Komponenten Malware Scanning, Cloud Logging, Identity Authentication, SAP Build Work Zone, SAP Cloud Portal service, SAP Destination service, Authorization and Trust Management Service, Custom Domain Service, SAP HANA Database, etc.

Cybercrime

Pishing Angriffe: So schützen Sie Ihre SAP-Systeme

Phishing ist eine der häufigsten Formen von Cyberangriffen. Dabei versuchen Angreifer, Nutzer dazu zu bringen, ihre Zugangsdaten oder andere sensible Informationen preiszugeben. Phishing-Angriffe können auch auf SAP-Systeme abzielen.

Hier sind einige Tipps, wie Sie Ihre SAP-Systeme vor Phishing-Angriffen schützen können:

Weitere Tipps von SAP:

Fazit:  

Durch die Umsetzung dieser Tipps können Sie Ihre SAP-Systeme vor Phishing-Angriffen schützen.

Risikomanagement in der SAP-Sicherheit

Die Unverzichtbarkeit von Risikomanagement in der SAP-Sicherheit: Schlüsselprinzipien und bewährte Methoden

In der sich ständig weiterentwickelnden Landschaft der Unternehmens-IT steht das Risikomanagement im Kontext der SAP-Sicherheit an erster Stelle. Die Bedeutung eines effektiven Risikomanagements kann nicht überbetont werden, da es Unternehmen hilft, potenzielle Bedrohungen zu identifizieren, zu bewerten und angemessen darauf zu reagieren.

Warum ist Risikomanagement in der SAP-Sicherheit so wichtig?

Ein effektives Risikomanagement ist der Schlüssel zur Bewältigung der komplexen Bedrohungslandschaft in SAP-Systemen. Es ermöglicht Unternehmen nicht nur, potenzielle Risiken frühzeitig zu erkennen, sondern auch, proaktiv Maßnahmen zu ergreifen, um diese Risiken zu minimieren oder zu beseitigen. Dies ist besonders wichtig in der SAP-Welt, wo große Mengen sensibler Unternehmensdaten verarbeitet werden.

Schlüsselprinzipien des Risikomanagements in der SAP-Sicherheit:

Identifikation von Risiken: Eine gründliche Analyse der SAP-Umgebung, einschließlich Systemarchitektur und Datenfluss, ist entscheidend, um potenzielle Schwachstellen und Bedrohungen zu erkennen.

Bewertung und Klassifizierung: Risiken müssen nicht nur identifiziert, sondern auch bewertet und entsprechend ihrer Bedrohlichkeit klassifiziert werden, um Prioritäten für Gegenmaßnahmen festzulegen.

Implementierung von Kontrollen: Die Umsetzung wirksamer Kontrollen, sei es durch Berechtigungsmanagement, Zugriffskontrollen oder Verschlüsselung, ist von entscheidender Bedeutung, um Risiken zu mindern.

Überwachung und Kontinuierliche Verbesserung: Ein fortlaufender Überwachungsprozess gewährleistet, dass die implementierten Kontrollen wirksam sind. Kontinuierliche Verbesserungen basierend auf den gewonnenen Erkenntnissen sind entscheidend für die Anpassung an sich verändernde Bedrohungen.

Bewährte Methoden im Risikomanagement für SAP:

Risikobasiertes Berechtigungsmanagement: Identifikation und Überprüfung von Berechtigungen basierend auf potenziellen Risiken.

Regelmäßige Sicherheitsaudits: Durchführung von regelmäßigen Sicherheitsaudits, um die Einhaltung von Sicherheitsrichtlinien zu gewährleisten und potenzielle Risiken zu erkennen.

Sensibilisierung und Schulungen: Mitarbeiterschulungen, um das Bewusstsein für Sicherheitsrisiken zu schärfen und eine sicherheitsbewusste Kultur zu fördern.

Integration von Threat Intelligence: Einbindung von Threat-Intelligence-Daten, um frühzeitig auf aktuelle Bedrohungen reagieren zu können.

Fazit:  Risikomanagement als Eckpfeiler der SAP-Sicherheit

In einer Zeit, in der Cyberbedrohungen zunehmen, ist ein effektives Risikomanagement unerlässlich für den Schutz von SAP-Systemen. Die Anwendung der genannten Schlüsselprinzipien und bewährten Methoden ermöglicht es Unternehmen, die Herausforderungen der SAP-Sicherheit zu bewältigen und eine robuste Verteidigung gegenüber den sich ständig weiterentwickelnden Bedrohungen aufzubauen. Der Fokus auf Risikomanagement ist nicht nur eine Sicherheitsmaßnahme, sondern eine strategische Investition in die Widerstandsfähigkeit von Unternehmen gegenüber potenziellen Risiken.

Aktuelle Patches

SAP NEWS: Patchday Januar 2024

Hier findet ihr eine Übersicht der SAP Security Notes für Januar 2024:

1. Score 9.1  (Hot News)

Nummer: 3413475

[Mehrere CVEs] Rechteausweitung in SAP Edge Integration Cell

Unter bestimmten Voraussetzungen kann SAP Edge Integration Cell durch Schwachstellen (CVE-2023-49583 und CVE-2023-50422) Sicherheitslücken aufweisen. Ein nicht authentifizierter Angreifer könnte dadurch uneingeschränkte Zugriffsrechte in der Anwendung erlangen.

2. Score 9.1  (Hot News)

Nummer: 3412456

 [CVE-2023-49583] Eskalation von Berechtigungen in Anwendungen, die mit SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE for SAP HANA entwickelt wurden

SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE für SAP HANA:

In bestimmten Situationen können node.js-Anwendungen, die über die genannten Entwicklungsumgebungen erstellt wurden und für das Deployment in SAP BTP- oder Cloud-Foundry-Umgebungen vorgesehen sind, aufgrund von CVE-2023-49583

3. Score 8.4   (High priority)

Nummer: 3411869

[CVE-2024-21737] Code-Injection-Schwachstelle in SAP Application Interface Framework (Datei-Adapter)

Im Datei-Adapter des SAP Application Interface Framework kann ein Nutzer mit erhöhten Berechtigungen einen Funktionsbaustein verwenden, um verschiedene Ebenen zu durchlaufen und Betriebssystembefehle direkt auszuführen. Dies ermöglicht es einem solchen Benutzer, das Verhalten der Anwendung zu steuern. Diese Sicherheitslücke hat erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

4. Score 7.5   (High priority)

Nummer: 3389917

 [CVE-2023-44487] Denial-of-Service (DOS) in SAP Web Dispatcher, SAP NetWeaver Application Server ABAP und ABAP-Plattform

SAP Web Dispatcher, SAP NetWeaver Application Server ABAP und die ABAP-Plattform erlauben einem nicht authentifizierten Benutzer durch viele HTTP/2-Anfragen eine Netzwerk-DoS-Attacke. Diese Anfragen können später abgebrochen werden, was zu einer Überlastung des Speichers führt und die Anwendungsverfügbarkeit erheblich beeinträchtigen kann. Die Vertraulichkeit oder Integrität der Anwendung bleibt dabei unberührt.

 

5. Score 7.4   (High priority)

Nummer: 3386378 

[CVE-2024-22125] Schwachstelle mit Blick auf Offenlegung von Informationen in Microsoft-Edge-Browsererweiterung (SAP GUI Connector für Microsoft Edge)

Unter bestimmten Umständen kann die Microsoft Edge Browser-Erweiterung (SAP GUI Connector für Microsoft Edge) einem Angreifer den Zugriff auf hochsensible Informationen ermöglichen, die normalerweise beschränkt wären. Dies stellt eine erhebliche Gefahr für die Vertraulichkeit dar.

6. Score 7.3   (High priority)

Nummer: 3407617

[CVE-2024-21735] Falsche Berechtigungsprüfung in SAP Landscape Transformation Replication Server

Die SAP Landscape Transformation Replication Server weist eine Schwachstelle auf, da erforderliche Berechtigungsprüfungen nicht ordnungsgemäß durchgeführt werden. Dies ermöglicht einem Angreifer mit erhöhten Berechtigungen die Durchführung unbeabsichtigter Aktionen, was zu einer potenziellen Rechteausweitung führt. Diese Sicherheitslücke hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems.

7. Score 6.4   (Medium priority)

Nummer: 3260667

[CVE-2024-21736] Fehlende Berechtigungsprüfung in SAP S/4HANA Finance für die erweiterte Zahlungsverwaltung

Die erweiterte Zahlungsverwaltung von SAP S/4HANA Finance weist eine Sicherheitslücke auf, da die notwendigen Berechtigungsprüfungen nicht ordnungsgemäß durchgeführt werden. Dies ermöglicht einem Angreifer die Initiierung eines Funktionsimports, der es ihm ermöglicht, Inhouse-Bankkonten zu erstellen. Obwohl die Auswirkungen auf die Vertraulichkeit der Anwendung als gering eingestuft werden, stellt diese Schwachstelle dennoch ein potenzielles Risiko dar.

8. Score 5.3   (Medium priority)

Nummer: 3324732

[CVE-2023-31405] Log-Injection-Schwachstelle in SAP NetWeaver AS für Java (Log Viewer)

Update vom 9. Januar 2024: Der Hinweis wurde mit geringfügigen Textänderungen im Abschnitt „Lösung“ erneut veröffentlicht. Es sind keine Kundenaktionen erforderlich.

Update vom 10. Oktober 2023: Die im Hinweis bereitgestellte Lösung ist für ENGINEAPI 7.50 unvollständig. Um das Problem vollständig zu beheben, wenden Sie den SAP-Sicherheitshinweis 3371873 an.

SAP NetWeaver AS für Java weist eine Sicherheitslücke auf, die es einem nicht authentifizierten Angreifer ermöglicht, eine Anfrage über das Netzwerk zu erstellen. Dies kann zu unerwarteten Änderungen an einem Systemprotokoll ohne Benutzerinteraktion führen. Es sind jedoch keine Auswirkungen auf die Verfügbarkeit oder Vertraulichkeit der Anwendung zu verzeichnen.

9. Score 4.1   (Medium priority)

Nummer: 3392626

[CVE-2024-22124] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Internet Communication Manager

In bestimmten Szenarien erlauben der Internet Communication Manager (ICM) oder der SAP Web Dispatcher einem Angreifer den Zugriff auf eigentlich eingeschränkte Informationen. Dies stellt eine erhebliche Beeinträchtigung der Vertraulichkeit dar.

10. Score 4.1   (Medium priority)

Nummer: 3387737

[CVE-2024-21738] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server ABAP und ABAP-Plattform

SAP NetWeaver Application Server ABAP und die ABAP-Plattform weisen eine unzureichende Kodierung von benutzergesteuerten Eingaben auf, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Bei erfolgreicher Ausnutzung dieser Schwachstelle kann ein Angreifer mit begrenzten Rechten die Vertraulichkeit der Anwendungsdaten in gewissem Maße beeinträchtigen.

11. Score 3.7   (Low priority)

Nummer: 3190894 

[CVE-2024-21734] URL-Umleitungsschwachstelle in SAP Marketing (App „Kontakte“)

Die SAP-Marketing-App „Kontakte“ weist eine Sicherheitslücke auf, die es einem Angreifer mit begrenzten Berechtigungen erlaubt, einen Benutzer dazu zu verleiten, eine schädliche Seite zu öffnen. Dies kann zu einem äußerst überzeugenden Phishing-Angriff führen, wobei die Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung als gering einzustufen sind.

Aktuelle Patches

SAP NEWS: Patchday Dezember 2023

Hier findet ihr eine Übersicht der SAP Security Notes für Dezember2023:

1. Score 10  (Hot News)

Nummer: 2622660

Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client

Dieser SAP-Hinweis behandelt mehrere Schwachstellen im Drittanbieter-Webbrowser-Control Chromium, das in SAP Business Client genutzt wird. Der Hinweis wird regelmäßig aktualisiert, entsprechend den Chromium-Webbrowser-Updates. Weitere Informationen sind im Lösungsabschnitt verfügbar.

 Einige bekannte Auswirkungen dieser Schwachstellen:

  • Offenlegung von Systeminformationen oder im schlimmsten Fall Systemabsturz
  • Die Schwachstellen können sich direkt auf die Vertraulichkeit, Integrität und Verfügbarkeit eines Systems auswirken.
  • Diese Informationen können dann verwendet werden, um gezielt weitere Angriffe durchzuführen, möglicherweise mit weiteren ernsthaften Folgen.

2. Score 9.1  (Hot News)

Nummer: 3411067

[Mehrere CVEs] Eskalation von Berechtigungen in SAP Business Technology Platform (BTP) Security Services Integration Libraries

Ein FAQ-Dokument wurde im Referenzabschnitt hinzugefügt. Es sind keine Änderungen erforderlich, sofern die Patches bereits installiert wurden.

Die Integrationsbibliotheken und Programmierinfrastrukturen von SAP BTP Security Services können unter bestimmten Bedingungen zu einer Rechteausweitung führen. Dies betrifft alle Kunden mit Anwendungen, die auf SAP BTP entwickelt wurden, außer in der BTP-Neo-Umgebung, wo sie technisch genutzt werden könnten.

Die Bibliotheken werden für Authentifizierungs- und Berechtigungsprüfungen aufgerufen und müssen vom Entwicklungsteam der betroffenen Anwendung (SAP oder Kunden) gepatcht werden.

3. Score 9.1  (Hot News)

Nummer: 3399691

Update 1 zu 3350297 – [CVE-2023-36922] BS-Befehl-Injection-Schwachstelle in SAP ECC und SAP S/4HANA (IS-OIL)

Dieser Sicherheitshinweis ist eine Aktualisierung von 3350297 und betrifft die Komponente IS-OIL-DS-HPM. Die im vorherigen Hinweis bereitgestellte Korrektur war unvollständig.

Kunden, die 3350297 installiert haben, sollten auch diesen Hinweis einspielen. Ein Programmfehler in IS-OIL ermöglicht einem authentifizierten Angreifer, beliebige Betriebssystembefehle einzuschleusen und Systemdaten zu lesen, zu ändern oder das System herunterzufahren.

4. Score 8.1   (High priority)

Nummer: 3394567

[CVE-2023-42481] Schwachstelle bezüglich ungeeigneter Zugriffskontrollen in SAP Commerce Cloud

Dieser Sicherheitshinweis ist eine Aktualisierung von 3350297 und betrifft die Komponente IS-OIL-DS-HPM. Die im vorherigen Hinweis bereitgestellte Korrektur war unvollständig.

In SAP Commerce Cloud kann ein gesperrter B2B-Benutzer die Funktion für vergessene Kennwörter missbräuchlich nutzen, um sein Benutzerkonto zu entsperren, insbesondere bei Verwendung von SAP Commerce Cloud – Composable Storefront als Storefront. Die vorhandenen Zugriffskontrollen sind hierbei zu schwach. Dies stellt ein erhebliches Risiko für Vertraulichkeit und Integrität dar.

6. Score 7.5   (High priority)

Nummer: 3382353

[CVE-2023-42478] Cross-Site-Scripting-Schwachstelle in SAP-BusinessObjects-Business-Intelligence-Plattform

Die SAP BusinessObjects Business Intelligence Plattform ist anfällig für gespeicherte XSS-Angriffe, bei denen ein Angreifer agnostische Dokumente hochladen kann. Das Öffnen dieser Dokumente durch andere Benutzer kann zu erheblichen Beeinträchtigungen der Anwendungsintegrität führen.

7. Score 7.3   (High priority)

Nummer: 3385711 

[CVE-2023-49580] Schwachstelle bezüglich der Offenlegung von Informationen in SAP GUI for Windows und SAP GUI for Java

SAP GUI for Windows und SAP GUI for Java weisen eine Schwachstelle auf, durch die ein nicht authentifizierter Angreifer auf normalerweise eingeschränkte und vertrauliche Informationen zugreifen kann. Zudem ermöglicht die Schwachstelle dem Angreifer, Layoutkonfigurationen des ABAP List Viewers zu erstellen, was negative Auswirkungen auf Integrität und Verfügbarkeit hat, beispielsweise erhöhte Antwortzeiten des AS ABAP.

8. Score 7.1   (High priority)

Nummer: 3406244

[CVE-2023-6542] Fehlende Berechtigungsprüfung in SAP EMARSYS SDK ANDROID

Das Emarsys SDK für Android weist aufgrund fehlender ordnungsgemäßer Berechtigungsprüfungen eine Schwachstelle auf. Ein Angreifer mit lokalem Zugriff kann eine bestimmte Activity aufrufen und Webseiten sowie/oder Deep Links ohne Validierung direkt aus der Host-Anwendung weiterleiten. Ein erfolgreicher Angriff ermöglicht dem Angreifer die Navigation zu beliebigen URLs, einschließlich Deep Links der Anwendung auf dem Gerät. Dies kann schwerwiegende Auswirkungen auf Vertraulichkeit und Integrität haben, abhängig von der aufgerufenen Anwendung.

9. Score 6.8   (Medium priority)

Nummer: 3369353

[CVE-2023-42476] Cross-Site-Scripting-Schwachstelle in SAP BusinessObjects Web Intelligence

Mit SAP BusinessObjects Web Intelligence kann ein authentifizierter Angreifer JavaScript-Code in Dokumente einfügen, der bei jedem Seitenaufruf im Browser des Opfers ausgeführt wird. Dies könnte zu einer Offenlegung von Daten führen, einschließlich potenziell sensibler Informationen aus Reporting-Datenbanken.

10. Score 6.4   (Medium priority)

Nummer: 3395306

[CVE-2023-49587] Command-Injection-Schwachstelle in SAP Solution Manager

Ein autorisierter Angreifer kann durch SAP Solution Manager 7.2 bestimmte veraltete Funktionsbausteine ausführen. Diese Bausteine erlauben das Lesen oder Ändern von Daten derselben oder einer anderen Komponente über das Netzwerk, ohne dass Benutzerinteraktion erforderlich ist.

11. Score 6.1   (Medium priority)

Nummer: 3217087

[CVE-2023-42479] Cross-Site-Scripting-(XSS)-Schwachstelle in SAP Biller Direct

Die SAP-HCM-Lösung (SMART PAYE) weist aufgrund unzureichender Codierung benutzergesteuerter Eingaben eine Cross-Site-Scripting-Schwachstelle (XSS) auf. Ein Angreifer kann nach erfolgreicher Ausnutzung begrenzte Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung haben.

12. Score 6.1   (Medium priority)

Nummer: 3383321

[CVE-2023-49577] Cross-Site-Scripting-Schwachstelle (XSS) in der SAP-HCM-Lösung (SMART PAYE)

Ein nicht authentifizierter Angreifer kann eine Biller-Direct-URL in einen Frame einbetten und so einen verdeckten Zugriff ermöglichen. Wenn dieser Frame vom Benutzer geladen wird, erfolgt eine Cross-Site-Scripting-Anfrage an das Biller Direct-System, was zu einer Offenlegung oder Änderung von nicht sensiblen Informationen führen kann.

13. Score 5.3   (Medium priority)

Nummer: 3159329

Denial-of-Service-Schwachstelle (DoS) in JSZIP-Bibliothek in SAPUI5 gebündelt

Durch eine modifizierte Version der JSZIP-Bibliothek, die in SAPUI5 verwendet wird, kann ein Angreifer legitime Benutzer daran hindern, eine neue ZIP-Datei anzulegen. Dies könnte geringe Auswirkungen auf die Verfügbarkeit haben.

14. Score 4.3   (Medium priority)

Nummer: 3406786

[CVE-2023-49584] Client-seitige Desynchronisationsschwachstelle in SAP Fiori Launchpad – SAP for Me

Ein authentifizierter Benutzer kann im SAP Fiori Launchpad das HTTP-Verb POST für einen schreibgeschützten Service verwenden, was geringe Auswirkungen auf die Vertraulichkeit der Anwendung hat.

15. Score 4.1   (Medium priority)

Nummer: 3392547

[CVE-2023-49581] SQL-Injection-Schwachstelle in SAP NetWeaver Application Server ABAP und ABAP-Plattform

In SAP NetWeaver Application Server ABAP und der ABAP-Plattform kann ein Angreifer mit Entwickler- oder DB-Administrationsberechtigungen einen Funktionsbaustein aufrufen, der als Parameter für eine nachfolgende SQL-Anweisung verwendet wird. Dadurch wird die Anwendung anfällig für eine SQL-Injection, bei der im Erfolgsfall nicht sensible Datenbankmetadaten gelesen oder verändert werden können, was zu Unzugänglichkeit von zugehörigen Geschäftsdaten führen kann.

16. Score 3.5   (Low priority)

Nummer: 3363690

[CVE-2023-49058] Directory-Traversal-Schwachstelle in SAP Master Data Governance

Die Datei-Upload-Anwendung von SAP Master Data Governance weist eine Sicherheitslücke auf, bei der ein Angreifer die unzureichende Validierung von Pfadinformationen ausnutzen kann, die von Benutzern bereitgestellt wurden. Dies ermöglicht das Einschleusen von Zeichen in die Datei-APIs, was wiederum einen Wechsel zum übergeordneten Verzeichnis erlaubt. Die Auswirkungen auf die Vertraulichkeit sind dabei gering.

17. Score 3.5   (Low priority)

Nummer: 3362463

[CVE-2023-49578] Denial-of-Service (DoS) in SAP Cloud Connector

Ein authentifizierter Benutzer mit begrenzten Berechtigungen kann mittels SAP Cloud Connector von einer benachbarten UI aus einen Denial-of-Service-Angriff durchführen, indem er eine schädliche Anfrage sendet. Dies hat einen geringfügigen Einfluss auf die Verfügbarkeit, jedoch keine Auswirkungen auf die Vertraulichkeit oder Integrität der Anwendung.

 

Force Vision Threat Detection Enhancement for werthAUDITOR Platform

Die Zukunft der Threat Detection

Wir freuen uns, die bahnbrechende Force Vision Threat Detection Enhancement für die werthAUDITOR Plattform ankündigen zu können!

Unser Force Vision-Modul ist als einzige SAP-Security Lösung in der Lage, unerwünschte privilegierte Anmeldungen in Echtzeit zu erkennen ohne sich dabei auf die übliche und anfällige Mustererkennung zu verlassen. Sicherheitsadministratoren können jetzt zuverlässig Anmeldungen erkennen, die eine Rechteausweitung missbrauchen oder gestohlene Administratoranmeldeinformationen verwenden. Denn Force Vision bewertet automatisch, ob es sich bei der Anmeldung um eine legitime Administratoranmeldung oder die Verwendung gestohlener Anmeldeinformationen handelt. Die integrierte Echtzeit-Erkennung erhöhter Berechtigungen zeigt jede Rechteausweitung bei normalen Benutzern an.

Somit ist eine unmittelbare Reaktion auf unerwünschte Systemzugriffe möglich. 

Ab Sofort ist die Zukunft der Threat Detection auch für unsere Kunden verfügbar!

Aktuelle Patches

SAP NEWS: Patchday September 2023

Hier findet ihr eine Übersicht der SAP Security Notes für September 2023:

1. Score 10  (Hot News)

Nummer: 2622660

Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client

Beim Anzeigen von Webseiten in SAP Business Client mittels dieses Open-Source-Browser-Controls können sich verschiedene Schwachstellen, wie Speicherschäden, Offenlegung von Informationen usw. manifestieren.  Diese Schwachstellen können sich wie folgt auswirken:

  • Offenlegung von Systeminformationen oder  Systemabsturz
  • Auswirkung auf die Vertraulichkeit, Integrität und Verfügbarkeit eines Systems.
  • Ausnutzung der Informationen zur Durchführung von gezielten Angriffen mit ernsthaften Folgen.

2. Score 9.9   (Hot News)

Nummer: 3273480

[CVE-2022-41272] Falsche Zugriffskontrolle in SAP NetWeaver AS Java (benutzerdefinierte Suche)

Über offene Schnittstellen können von nicht  authentifizierter Angreifern Vorgänge ausgeführt werden, die Benutzer und Daten im gesamten System beeinträchtigen. Der Angreifer erhält vollen Lesezugriff auf Benutzerdaten und kann eingeschränkte Änderungen an Benutzerdaten vornehmen. Zudem kann die Performance des Systems negativ beeinflusst werden.

Dies kann der Vertraulichkeit großen Schaden zufügen und hat begrenzte Auswirkungen auf die Verfügbarkeit und Integrität der Anwendung.

3. Score 9.9   (Hot News)

Nummer: 3320355

[CVE-2023-40622] Schwachstelle bezüglich der Offenlegung von Informationen auf SAP-BusinessObjects-Business-Intelligence-Plattform (Promotion-Verwaltung)

Ein authentifizierten Angreifer kann mit Hilfe der Schwachstelle vertrauliche Informationen lesen, die normalerweise eingeschränkt sind. Vollumfänglich Gefährdung der Anwendung möglich. Starke Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit möglich.

4. Score 9.9   (Hot News)

Nummer: 3245526

3245526 – [CVE-2023-25616] Code-Injection-Schwachstelle in SAP-Business-Objects-Business-Intelligence-Plattform (CMC) 

Mögliche Ausnutzung einer Code-Injection-Schwachstelle, die einem Angreifer Zugriff auf Ressourcen ermöglicht, für die zusätzliche Berechtigungen erforderlich sind. 

Starke Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems

5. Score 9.8   (Hot News)

Nummer: 3340576

[CVE-2023-40309] Fehlende Berechtigungsprüfung in SAP CommonCryptoLib

Die Schwachstelle führt nicht die erforderlichen Authentifizierungsprüfungen durch, was zu fehlenden oder falschen Berechtigungsprüfungen für einen authentifizierten Benutzer führen kann. Dadurch ist eine Rechteausweitung möglich. Abhängig von der Anwendung und der jeweiligen Berechtigungsebene kann ein Angreifer Funktionen missbrauchen, die auf eine bestimmte Benutzergruppe beschränkt sind, und eingeschränkte Daten lesen, ändern oder löschen.

 

6. Score 8.7   (High priority)

Nummer: 3370490

[CVE-2023-42472] Schwachstelle mit Blick auf unzureichende Dateityp-Validierung in SAP-BusinessObjects-Business-Intelligence-Plattform (Web-Intelligence-HTML-Schnittstelle)

Die Schwachstelle ermöglicht es einem Berichtsersteller, Dateien aus dem lokalen System über das Netzwerk in den Bericht hochzuladen. Nach Ausnutzung der Schwachstelle kann der Angreifer sensible Daten lesen und ändern, was große Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat.

7. Score 7.5   (High priority)

Nummer: 3327896

[CVE-2023-40308] Speicherbeschädigungsschwachstelle in SAP CommonCryptoLib

Ein authentifizierten Angreifer kann durch eine Aufforderung an einen offenen Port einen Speicherbeschädigungsfehler in einer Bibliothek verursachen, der zu einem Absturz der Zielkomponente führt. Dadurch  ist sie nicht mehr verfügbar. 

8. Score 6.3   (Medium priority)

Nummer: 3357163

[CVE-2023-40621] Code-Injection-Schwachstelle in SAP-PowerDesigner-Client

Die Code-Injection-Schwachstelle ermöglicht es einem Angreifer ohne Berechtigungen, unbemerkt VBScript-Code in ein Dokument hineinzubringen. Durch das Öffnen des Dokumentes führt die Anwendung den Code im Namen des unwissenden Benutzers aus.

Durch die Aktivierung von Sicherheitsoptionen in der Anwendung, die nicht als Standard festgelegt sind, werden nicht vertrauenswürdige Skripte deaktiviert oder der Benutzer wird zu einer Bestätigung der Ausführung aufgefordert.

9. Score 6.2   (Medium priority)

Nummer: 3317702

[CVE-2023-40623] Beliebige Dateilöschung über Verzeichnisverknüpfung in SAP BusinessObjects Suite (Installationsprogramm)

Die Schwachstelle ermöglicht es dem Angreifer bei erfolgreicher Ausnutzung alle Betriebssystemdateien zu löschen. Dies hat eine eingeschränkte Auswirkung auf die Integrität und vollständig beeinträchtigt der Verfügbarkeit des Systems zur Folge.

10. Score 5.7   (Medium priority)

Nummer: 3349805

Denial-of-Service-Schwachstelle (DOS) aufgrund der Verwendung einer anfälligen Version von Commons FileUpload in SAP Quotation Management Insurance (FS-QUO)

 Die Schwachstelle ermöglicht es einem Angreifer mit geringen Rechten einen Angriff aus einem benachbarten Netzwerk starten.

11. Score 5.5   (Medium priority)

Nummer: 3323163

[CVE-2023-40624] Code-Injection-Schwachstelle in SAP NetWeaver AS ABAP (Anwendungen, die auf Unified Rendering basieren)

Ein Angreifer kann einen JavaScript-Code einschleusen, der in der Web-Anwendung ausgeführt werden kann und somit das Systemverhalten der Anwendung steuern.

12. Score 5.4  (Medium priority)

Nummer: 3326361

[CVE-2023-40625] Fehlende Berechtigungsprüfung in App „Einkaufskontrakte verwalten“

Durch die App werden nicht die erforderlichen Berechtigungsprüfungen für einen authentifizierten Benutzer durchgeführt. Ein Angreifer hat somit die Möglichkeit, unbeabsichtigte Aktionen ausführen. Dies führt zu einer Rechteausweitung, mit geringen Auswirkungen auf die Vertraulichkeit und Integrität ohne Auswirkungen auf die Verfügbarkeit des Systems.

13. Score 5.3   (Medium priority)

Nummer: 3352453

[CVE-2023-37489] Schwachstelle mit Blick auf Offenlegung von Informationen auf SAP-BusinessObjects-Business-Intelligence-Plattform (Versionsverwaltungssystem)

 Ein nicht authentifizierten Benutzer kann durch die Schwachstelle Code-Snippets über die UI lesen, was geringe Auswirkungen auf die Vertraulichkeit und keine Auswirkungen auf die Verfügbarkeit oder die Integrität der Anwendung hat.

14. Score 5.3   (Medium priority)

Nummer: 3348142

3348142 – [CVE-2023-41367] Fehlende Berechtigungsprüfung in SAP NetWeaver (Guided Procedures) – SAP for Me

Ein nicht autorisierter Benutzer kann anonym auf die Administratorsicht einer bestimmten Funktion zugreifen. Bei erfolgreicher Ausnutzung der Schwachstelle kann der Angreifer die E-Mail-Adresse des Benutzers anzeigen. Keine Auswirkungen auf die Integrität/Verfügbarkeit.

15. Score 3.5   (Low priority)

Nummer: 3369680

[CVE-2023-41369] External-Entity-Loop-Schwachstelle in SAP S/4HANA (Anwendung „Einzelzahlung anlegen“)

Durch die Anwendung kann ein authentifizierten Angreifer die XML-Datei als Anlage hochladen. Durch Anklicken der XML-Datei  im Anlagenabschnitt wird die Datei im Browser geöffnet, sodass die Entitätsschleifen den Browser verlangsamen.

16. Score 2.7   (Low priority)

Nummer: 3355675

[CVE-2023-41368] IDOR-Schwachstelle (unsichere direkte Objektreferenz) in SAP S/4HANA (Anwendung „Scheckhefte verwalten“)

Die  Anwendung ermöglicht es einem Angreifer mit erweiterten Rechten, den Scheckheftnamen zu ändern was sich teilweise auf die Integrität auswirkt.

Die 3 häufigsten Fails im Berechtigungsmanagement

Ein durchdachtes und gepflegtes SAP-Berechtigungskonzept ist ein wichtiger Baustein für das Sicherheits- und Compliance-Rahmenwerk eines Unternehmens. Mangelndes Verständnis über die Bedeutung für Sicherheit- und Compliance oder historisch gewachsener Wildwuchs kann jedoch zu vielfältigen Risiken, wie Compliance-Verstößen, Diebstahl, Betrug oder Sabotage führen und erheblichen Schaden verursachen.

Hier sind die häufigsten Berechtigungsfehler, die uns in unserer Praxis begegnen:

Fehler # 1: Berechtigungen mit der Gießkanne verteilen

Die inflationäre Vergabe von Zugriffsrechten ist einer der häufigsten Fehler in Unternehmen.

Wird nicht von Beginn an auf eine saubere Vergabe von Rechten geachtet, entsteht im Laufe der Jahre historisch gewachsener Wildwuchs. Durch geerbte Rollen oder Vertrauen in die Person erlangen Benutzer Zugriff auf sensible Daten oder Funktionen, die sie für ihre Arbeit nicht benötigen. Dadurch können folgende Szenarien entstehen:

• Ein Angreifer kann einen Account übernehmen und in Namen des Benutzers Schaden anrichten

• Ein böswilliger Benutzer kann weitreichende Zugriffsrechte ausnutzen, um eigene Interessen zu verfolgen

Die Vergabe von System- und Benutzerberechtigungen und sogar Notfallberechtigungen ist in der Praxis kein Einzelfall und kann verheerende Folgen für das Unternehmen haben. Dies gilt auch für Standard Benutzerkonten wie z.B. SAP * und DDIC.

Die restriktive Vergabe von kritischen Berechtigungen und die Vermeidung kritischer Rechtekombinationen ist für ein robustes Berechtigungsmanagement von zentraler Bedeutung.

Fehler #2: Schlecht konzipiertes Rollendesign

Die SAP-Benutzerrollen sind als Schnittstelle zu den Berechtigungen ein wichtiger Bestandteil des SAP-Berechtigungsmanagements. Ein schlecht durchdachtes Rollendesign, in dem z.B. Rollen immer weitervererbt und mit zusätzlichen Transaktionen „bereichert“ werden, kann Sicherheitsrisiken, Compliance-Probleme und Ineffizienz zur Folge haben.

Daher sollten Unternehmen einen robusten Designprozess zur Entwicklung von Rollen etablieren, der auf Basis von Jobfunktionen, der Zuordnung der Rollen zu konkreten Funktionen und Daten sowie das Testen der Rollen einbezieht.

Auch das regelmäßige Kontrollieren der Rollen auf Aktualität, Relevanz und Effizienz ist für einen reibungslosen Prozess unabdingbar.

Fehler #3: Ignorieren der Funktionstrennung (SoD)

Bei der Einrichtung von Berechtigungen und Benutzerrollen muss sichergestellt werden, dass kein einzelner User-Funktionen ausführen kann, die zu Missbrauch oder Fehlern führen können. Mit Hilfe der Funktionstrennung (SoD) soll innerhalb einer Organisation der Missbrauch kritischer Kombinationen von Tätigkeiten innerhalb eines Prozesses verhindert werden. Die Praxis jedoch zeigt, dass viele Unternehmen SoD ignorieren. Dadurch können erheblichen Sicherheits- und  Compliance-Risiken entstehen.

Die regelmäßige Kontrolle der Benutzerzugriffe ist ebenso von großer Bedeutung und hilft dabei Konflikte in der Funktionstrennung sowie Verstöße gegen SoD-Richtlinien zu identifizieren und fehlerhafte Vergaben von Berechtigungen zu beheben.

Im Rahmen der SAP-Security ist ein gepflegtes Berechtigungsmanagement ein wichtiger Baustein und als permanenter Prozess zu sehen. Daher ist die regelmäßige Kontrolle der Berechtigungen, Benutzerrollen und Zugriffsrechte von großer Bedeutung. Um ein wirksames Berechtigungskonzept zu etablieren, ist es ebenfalls von großer Bedeutung, bei Administratoren und Benutzern das Bewusstsein für den Stellenwert von Sicherheitsmaßnahmen zu schärfen und Wissen in Form von Aus-und Weiterbildungen zu vermitteln.

Berechtigungsmanagement mit werthAUDITOR

werthAUDITOR bietet eine komfortable und einfache Lösung, um kritische Berechtigungen und – Rechtekombinationen zu identifizieren und in einer übersichtlichen Berechtigungsmatrix abzubilden. Mit Hilfe des integrierten Berechtigungssimulators lassen sich Rollen und Profile auswählen und on the fly analysieren, editieren und exportieren. Somit lässt sich der Prozess erheblich vereinfachen und typische Fehler können vermieden werden.

New Feature

werthAUDITOR - Erfolgreicher Security Prozess durch Veredelung mit automatisiertem Task Management

Für einen wirkungsvollen Security Prozess ist es wichtig, dass die ermittelten Problemstellungen strukturiert und nachverfolgbar abgearbeitet werden können. Unsere Lösung unterstützt den Prozess, indem sie automatisierte Tickets mit allen Informationen erzeugt und aktualisiert.  Aktuell unterstützt werthAUDITOR Jira, TheHive und ServiceNow.